Привет, Хабр!
Этой ночью началась массовая экплуатация свежей уязвимости SaltStack master <=3000.1 версий. Еще один хороший пример того, что нужно закрывать все торчащее наружу апи фаерволом.
В репозитории saltstack предупреждение появилось 9 дней назад, но я не встречал его где-либо еще в интернете, хотя и слежу за новостями подобного рода.
на все миньоны устанавливается криптомайнер salt-minions и salt-store (источник). Для очистки нужно выполнить примерно следующие команды:
Так же троян пытается атаковать все сервисы, включая редис и докер. Изменения системных файлов пока не замечено. Актуальные новости собираются в том числе в ишью на гитхабе.
Берегите себя и свои сервера
Апдейт от 6 мая:
Этой ночью началась массовая экплуатация свежей уязвимости SaltStack master <=3000.1 версий. Еще один хороший пример того, что нужно закрывать все торчащее наружу апи фаерволом.
В репозитории saltstack предупреждение появилось 9 дней назад, но я не встречал его где-либо еще в интернете, хотя и слежу за новостями подобного рода.
The vulnerabilities allow a remote attacker who connects to the request server can bypass all authentication mechanisms and publish arbitrary control messages, read and write files anywhere on the master file system.Что известно на данный момент:
Attackers can also steal the secret keys and authenticate as a master user, results in “full remote command execution as root on both the master and all minions that connect to it.”
CVE-2020-11651 – Resides in ClearFuncs class that does not properly validate method calls, which allows attackers to retrieve user tokens.
CVE-2020-11652 – The ClearFuncs allow access to some methods due to improper sanitization, it allows arbitrary directory access to authenticated users.
Источник
на все миньоны устанавливается криптомайнер salt-minions и salt-store (источник). Для очистки нужно выполнить примерно следующие команды:
service salt-minion stop
rm -rf /var/tmp/salt-store
rm -rf /var/tmp/salt-minions
rm -rf /tmp/salt-store
rm -rf /tmp/salt-minions
pgrep salt-minion| xargs kill -9
pgrep salt-store| xargs kill -9
Так же троян пытается атаковать все сервисы, включая редис и докер. Изменения системных файлов пока не замечено. Актуальные новости собираются в том числе в ишью на гитхабе.
Берегите себя и свои сервера
Апдейт от 6 мая:
- С понедельника 4 мая началась новая атака, уже с более серьезной вирусной нагрузкой, компрометирующей всю систему. Если вас взломали, начиная с понедельника, — только полный ресетап системы является панацеей :(
- Среди прочих были взломаны блогинговая платформа Ghost, удостоверяющий центр Digicert и серверы LineageOS
- Выпущены патчи для множества мажорных версий satstack. Если вы ставили saltstack через bootstrap скрипт, убедитесь, что вы используете официальные репозитории, а не git branch, — и обновляйтесь.